Cheerscrypt Ransomware
Një familje e re ransomware e bazuar në Linux që synon serverët VMware ESXi është zbuluar nga studiuesit e sigurisë kibernetike. Detaje rreth këtij malware të veçantë u zbuluan në një raport nga Trend Micro, duke gjurmuar kërcënimin si Cheersrypt, ose Cheers Ransomware. Duhet të theksohet se kjo nuk është përpjekja e parë keqdashëse për të shfrytëzuar serverët ESXi. Më parë, familjet e ransomware si LockBit , Hive dhe RansomEXX kanë synuar të gjitha sistemet ESXi, me qëllimin për të zhvatur para nga organizatat e prekura.
Ndërmarrjet përdorin gjerësisht ESXi për krijimin dhe funksionimin e makinave virtuale (VM), ndërkohë që ndajnë të njëjtën hapësirë ruajtëse të diskut. Miratimi i gjerë nga organizata të të gjitha madhësive dhe vendndodhjeve gjeografike i ka bërë serverët ESXi një objektiv fitimprurës për organizatat kriminale kibernetike.
Detaje teknike
Përpara se të vendoset plotësisht në pajisjen e infektuar, Cheerscrypt kërkon një parametër specifik hyrës që specifikon shtegun e saktë për kriptim. Më pas, kërcënimi do të zbatojë dhe ekzekutojë një komandë për të përfunduar proceset aktuale të VM-së që po ekzekutohen nëpërmjet ESXCLI. Ai e bën këtë për të siguruar enkriptimin e suksesshëm të skedarëve të lidhur me VMware që përndryshe mund të jenë të paarritshëm. Në fund të fundit, kërcënimi synon në mënyrë specifike skedarët me shtesat ".log", ".vmdk", ".vmem", ".vswp" dhe ".vmsn".
Për rutinën e tij të enkriptimit, Cheerscrypt përdor një kombinim të shifrës së transmetimit SOSEMANUK dhe ECDH. Skedarët janë të koduar me SOSEMANUK, ndërsa ECDH është përgjegjëse për gjenerimin e çelësit. Çdo skedar i kyçur do të ketë '. Cheers' i bashkëngjitur emrit të tij si një shtesë e re. Një karakteristikë e veçantë e kërcënimit është se ai modifikon emrat e skedarëve përpara se të fillojë enkriptimin e tyre.
Shënimi i shpërblesës i Cheerscrypt zbulon se operatorët e tij kriminalë kibernetikë po zbatojnë një skemë të zhvatjes së dyfishtë. Përveç mbylljes së dosjeve të viktimave të tyre, hakerët pretendojnë gjithashtu se kanë mbledhur informacione të vlefshme konfidenciale nga sistemet e shkelura. Nëse kërkesat e tyre nuk plotësohen brenda 3 ditëve, aktorët e kërcënimit paralajmërojnë se do të fillojnë të publikojnë informacionin e marrë për publikun.
